Bei Sicherheitstest

Jeder fünfte Mitarbeiter tappte in Phishing-Falle

(Bild: thinkstockphotos.de)

Eine der größten IT-Gefahren für Unternehmen sind ihre Mitarbeiter. Zu diesem Ergebnis kommen italienische Sicherheitsforscher, die im Auftrag mehrerer international aktiver Unternehmen deren Mitarbeiter mit maßgeschneiderten Phishing-Angriffen, sogenanntem Spear-Phishing, auf die Probe stellten. Das erschreckende Ergebnis: Jeder fünfte Mitarbeiter fällt auf Phishing-Mails herein, die auf ihn zugeschnitten wurden. Vor allem junge Arbeitnehmer unterschätzen die Gefahr.

12.000 Mitarbeiter 15 großer Unternehmen wurden von den Forschern der Mailänder IT-Sicherheitsorganisation CEFRIEL auf die Probe gestellt, berichtet das IT-Portal "Heise". Für den Versuch, dessen Ergebnisse die Forscher auf der Wiener Sicherheitskonferenz Deepsec präsentierten, gingen die Forscher in den sozialen Netzwerken auf die Suche nach Informationen über die Mitarbeiter, zusätzlich nutzte man Infos, die von den Auftraggeber-Firmen kamen. Die Informationen wurden verwendet, um Persönlichkeitsprofile der Mitarbeiter zu erstellen und diese direkt mit gefälschten E-Mails anzugreifen.

Vermeintliches Rabatt-Zuckerl war Phishing-Falle
Eine der Methoden, die von den CEFRIEL-Forschern verwendet wurde: An die Mitarbeiter wurden E-Mails mit dem Unternehmenslogo geschickt, in denen attraktive Rabatte beim Buchen einer Reise versprochen wurden. Um diese in Anspruch zu nehmen, müsse man sich nur mit seinen Firmen-Zugangsdaten auf einer Website einloggen, bei der es sich natürlich um eine Fälschung handelte. Das hielt 21 Prozent der Mitarbeiter freilich nicht davon ab, ihre echten Zugangsdaten einzugeben – obwohl die Phishing-Mails eigens mit Rechtschreibfehlern versehen und von russischen Servern gesendet wurden, um den Mitarbeitern die Erkennung zu erleichtern.

Besonders interessante Erkenntnis: Wie die Forscher feststellten, sind nicht etwa ältere Arbeitnehmer besonders anfällig für solche Phishing-Attacken, sondern vor allem jüngere. Die höchste Erfolgsquote hatte der Phishing-Angriff nämlich bei Arbeitnehmern unter 30 Jahren. Auch Schulungen, durch welche Mitarbeiter für die Gefahr durch Phishing-Attacken sensibilisiert werden sollen, bringen nichts. Der Prozentsatz der geschulten Mitarbeiter, die in die Phishing-Falle tappten, war nur unwesentlich geringer als jener der ungeschulten Mitarbeiter. Zudem würden die in Schulungen erlernten Verhaltensweisen binnen weniger Wochen wieder vergessen, beobachteten die Forscher. Besonders alarmierend: Zwar bemerken manche Nutzer, dass sie in eine Phishing-Falle getappt sind. Allerdings schlägt nur jeder hundertste Mitarbeiter tatsächlich Alarm, wenn ihm verdächtige E-Mails auffallen.

Auch Privatnutzer sind durch Phishing gefährdet
Phishing ist nicht nur im Unternehmensumfeld eine Gefahr, sondern auch für Privatleute. Erst kürzlich machte Google darauf aufmerksam, dass in Extremfällen sogar jeder zweite Internetnutzer auf Phishing-Betrüger hereinfällt – wenn diese ihre Betrugs-Websites und gefälschten E-Mails denn professionell aussehen lassen. Und ist man erst einmal in die Phishing-Falle getappt, geht es meist ganz schnell. Die Betrüger ändern das Passwort des gekaperten Accounts, um den Besitzer auszusperren, und suchen gezielt nach Informationen, die sie verwerten können. Allzu oft werden über Phishing-Angriffe gekaperte E-Mail-Accounts auch verwendet, um Kontakte des ersten Opfers anzugreifen. Denn: Phishing-Mails von vermeintlich bekannten Adressen sind 36-mal effektiver als von fremden Adressen.

Wer jetzt glaubt, Phishing sei ein Problem, das ihn nicht betreffe, sollte sich auf den Selbsttest einlassen. Wie schwer es nämlich mitunter sein kann, Original und Fälschung auseinanderzuhalten, zeigen kostenlose Online-Tests diverser Sicherheitsanbieter, etwa Websense , SonicWall oder McAfee , in denen Nutzer dazu eingeladen sind, ihre Fähigkeit zur Identifizierung der gefälschten Nachrichten oder Websites unter Beweis zu stellen.